Datenschutz-News im Juni: Verkürzte Löschfristen +++ Ausnahme für Gastzugänge +++ mehr Transparenz beim Schufa-Score +++ Mitarbeiterexzess +++ Meta-KI

Besser spät als gar nicht: Egal ob digitales Dokument oder Papierakte – alles, was personenbezogene Daten enthält, darf nach der DSGVO nur so lange aufbewahrt werden wie erforderlich. Daher ist es mindestens einmal im Jahr angebracht, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten noch länger benötigt werden. Für personenbezogene Daten gibt es keine starren Aufbewahrungsfristen: Diese müssen gelöscht werden, wenn man sie nicht mehr benötigt. Hier sind Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen. Die Länge der Fristen kann dabei, je nach Datenart und Geschäftszweig, stark variieren. Für einige Dokumente gibt es gesetzlich festgelegte Speicherfristen. Dieses Jahr gelten dank des Vierten Bürokratieentlastungsgesetzes übrigens verkürzte Fristen, z.B. für Belege zu Buchungen. Die Gesetzesänderung hat zur Folge, dass in diesem Jahr deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssen.

Nächstes Thema: Eigentlich hatte es sich inzwischen herumgesprochen, dass Online-Shops auch zwingend Gastzugänge anbieten müssen; also dass Kunden nicht nur dann etwas bestellen können, wenn sie im Shop auch einen Account anlegen. In der DSGVO ist aber nur das Prinzip der Datenminimierung (Art. 5 DSGVO) vorgeschrieben – die Idee mit den Gastzugängen geht auf einen Beschluss der Datenschutzkonferenz aus dem Jahr 2022 zurück.

Und dieser Beschluss erlaubt Abweichungen, wenn andere Maßnahmen umgesetzt werden. Vor dem OLG Hamburg berief sich nun otto.de erfolgreich auf so eine Abweichung: Als Online-Marktplatz, auf dem auch die Waren Dritter verkauft werden, habe man ein berechtigtes Interesse, Bestellungen nur nach Anlage eines Kundenkontos entgegenzunehmen, da der Kundenservice inklusive der Organisation von Retouren über ein einheitliches Kundenkonto wesentlich effizienter abgewickelt werden kann. Um dem Grundsatz der Datenminimierung gerecht zu werden, hat Otto alternative Maßnahmen ergriffen, vor allem das automatisierte Löschen inaktiver Accounts und das Aussondern von Daten nach Ablauf der Gewährleistungsfristen.

Ende Februar 2025 hat der EuGH entschieden, dass Auskunfteien wie die Schufa Betroffenen automatisierter Entscheidungen deren Grundsätze und Verfahren in präziser, transparenter, verständlicher und leicht zugänglicher Form erläutern müssen. Weiterhin können Unternehmen sich gegenüber der zuständigen Datenschutzaufsichtsbehörde oder einem zuständigen Gericht nicht einfach auf Geschäftsgeheimnisse berufen, sondern müssen diese offen legen. Die Behörde bzw. das Gericht hat dann abzuwägen, ob und inwieweit Geschäftsgeheimnisse für die betroffene Person relevant sind und offengelegt werden müssen.

Hintergrund war eine Klage aus Österreich, als einer Betroffenen bei einem Mobilfunkanbieter der Vertragsabschluss verweigert wurde, da ein KI-gestütztes Bonitäts-Scoring sie für nicht ausreichend kreditwürdig hielt. Sie erhielt zunächst nur vage Auskünfte über die Hintergründe und auch gegenüber der österreichischen Datenschutzbehörde wollte die Auskunftei ihre „Geschäftsgeheimnisse“ nicht preisgeben.

Das Urteil betrifft auch die Schufa, welche daraufhin ankündigte, schon seit 2022 an einem neuen Score zu arbeiten und sich vom o.g. EuGH-Urteil bestätigt zu fühlen. Im Laufe des Jahres 2025 soll der neue Score an den Start gehen: Verbraucher sollen künftig anhand ihrer eigenen Daten nachvollziehen können, wie ihr Schufa-Score zustande kommt. Dieser basiert dann auf zwölf Kriterien, die unterschiedlich gewichtet werden. Die Schufa bewirbt ihn vollmundig als den „weltweit ersten Score, den Verbraucher anhand von Punkten ganz ohne statistische Fachkenntnisse selbst nachrechnen können“. So soll jeder verstehen, welche Kriterien sich in welchem Umfang auf den persönlichen Score auswirken und auch, wie man den Score durch eigenes Verhalten selbst ändern kann.

Das OLG Stuttgart hat sich wiederum mit dem sogenannten „Mitarbeiterexzess“ im Datenschutzrecht befasst. Ein Polizeibeamter hatte rechtswidrig und ohne dienstlichen Anlass das polizeiliche Auskunftssystem „POLAS“ genutzt, um Daten über einen damaligen Kollegen abzurufen. Das OLG Stuttgart hat die Entscheidung der Vorinstanz bestätigt: Da der Beschäftigte die personenbezogenen Daten zu Zwecken außerhalb seiner dienstlichen Tätigkeit abgerufen hat, hat er sich der Aufsicht und Leitung seines Vorgesetzten entzogen. Er konnte eigene Entscheidungen über die Zwecke und Mittel der Datenverarbeitung treffen – und hat damit nicht weisungswidrig gehandelt, sondern überhaupt nicht dienstlich. Es liegt ein Mitarbeiterexzess vor und der Beschäftigte ist als Verantwortlicher nach Art. 4 Nr. 7 DSGVO anzusehen. Denn wenn ein Arbeitgeber alle erforderlichen Maßnahmen ergriffen hat, um einen solchen Mitarbeiterexzess zu verhindern, kommt eine Haftungsbefreiung in Betracht, sofern er ein enges Konzept von Weisungen und technischen Schutzmaßnahmen zur Verhinderung von Datenschutzverstößen nachweisen kann.

Die Landesdatenschutzbeauftragte von NRW sorgt sich indes um die Zunahme privater Videoüberwachung. Beschwerden bei ihr nahmen von 2023 auf 2024 um 30 Prozent zu. Sie weist in dem Zusammenhang darauf hin, dass zur Einhaltung datenschutzrechtlicher Informationspflichten an markanter Stelle ein Schild angebracht werden muss, das auf die Videoüberwachung hinweist. Außerdem darf wirklich nur innerhalb der eigenen Grundstücksgrenzen gefilmt werden – also keine Bürgersteige, keine Straßenflächen und auch nicht das eigene Auto, wenn es auf der Straße parkt. Auch Personen dürfen grundsätzlich nicht gefilmt werden. Weitere Warnungen hat Gayk in Richtung Schrebergärten (keine öffentlichen Aushänge mit personenbezogenen Daten, z.B. Sitzungsprotokolle) – dazu hier ihre Broschüre „Datenschutz im Verein“ – und in Richtung Polizei (keine Kommunikation per WhatsApp…) ausgesprochen.

Ende Mai hat Meta nun Ernst gemacht und angefangen, die öffentlichen Aktivitäten aller volljährigen europäischen Nutzer von Facebook und Instagram für das Training der eigenen KI-Anwendungen zu nutzen, sofern man nicht bis 27. Mai widersprochen hat. Das OLG Köln hatte dem Vorhaben zuvor im Eilverfahren am 23. Mai 2025 grünes Licht gegeben. Ein Antrag auf vorläufigen Rechtsschutz der Verbraucherzentrale NRW auf Untersagung der Datenverarbeitung wurde abgelehnt, da kein Verstoß gegen die DSGVO (hier insbesondere Artikel 6) oder den Digital Markets Act vorliege. Denn Meta verfolge mit der Verwendung zum Training von KI-Systemen einen legitimen Zweck, der nicht durch gleich wirksame andere Mittel, die weniger einschneidend wären, erreicht werden kann. Da nur öffentlich zugängliche Daten, ohne eindeutige Identifikatoren wie Name oder Adresse, verarbeitet würden und Nutzer der Verwendung widersprechen oder ihre Profile auf „nicht öffentlich“ umstellen können, liege auch eine Möglichkeit der Nicht-Einwilligung vor. Zwar werden für das Training ohne Zweifel große Datenmengen benötigt, die nicht zuverlässig vollständig anonymisiert werden können - im Rahmen der Abwägung der Rechte von Nutzenden und Meta als Betreiberin überwiegen jedoch die Interessen an der Datenverarbeitung, so das OLG Köln.

Alle Verantwortlichen sollten nun genau prüfen, inwieweit über ihre Social-Media-Präsenzen personenbezogene Nutzerdaten (hier für das Training von KI) verarbeitet werden. Das bedeutet zum einen, dass die Nutzer zu informieren sind, wenn sich wesentliche Parameter der Datenverarbeitung der von ihnen genutzten sozialen Netzwerke ändern. Zum anderen müssen die Betreiber einer Social-Media-Präsenz im Rahmen ihrer Verantwortlichkeit die Vorgaben zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) erfüllen. Wie immer gilt: Wenden Sie sich bei Fragen und Unklarheiten gern an uns.